如何理解網(wǎng)絡(luò)的五個(gè)安全保護(hù)等級(jí)
網(wǎng)絡(luò)安全保護(hù)等級(jí)的確定,應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南開展,既要防止因片面追求絕對(duì)安全而定級(jí)過高,也要防止為逃避監(jiān)管而定級(jí)偏低。信息網(wǎng)絡(luò)的安全等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Wo(hù)等級(jí),不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)準(zhǔn),即“不就高、不就低”。
為了幫助網(wǎng)絡(luò)運(yùn)營(yíng)者準(zhǔn)確確定網(wǎng)絡(luò)安全保護(hù)等級(jí),可以參考下列對(duì)五級(jí)的說明確定網(wǎng)絡(luò)安全等級(jí)。
第一級(jí)網(wǎng)絡(luò)
一般適用于小型私營(yíng)及個(gè)體企業(yè),中小學(xué),以及鄉(xiāng)鎮(zhèn)所屬網(wǎng)絡(luò)系統(tǒng)、縣級(jí)單位中重要性不高的網(wǎng)絡(luò)系統(tǒng)。
第二級(jí)網(wǎng)絡(luò)
一般適用于縣級(jí)某些單位中的重要網(wǎng)絡(luò)系統(tǒng),以及地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的網(wǎng)絡(luò)系統(tǒng)。例如,非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(jí)網(wǎng)絡(luò)
一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的網(wǎng)絡(luò)系統(tǒng)。例如,涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng),跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)及這類系統(tǒng)在省、地市的分支系統(tǒng),中央各部委、省(區(qū)、市)門戶網(wǎng)站和重要網(wǎng)站,跨省連接的網(wǎng)絡(luò)系統(tǒng),大型云平臺(tái)、工控系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、大數(shù)據(jù)等。
第四級(jí)網(wǎng)絡(luò)
一般適用于國(guó)家重要領(lǐng)域、重要部門中的特別重要網(wǎng)絡(luò)系統(tǒng)及核心系統(tǒng)。例如,電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國(guó)家安全、國(guó)計(jì)民生的核心系統(tǒng),超大型的云平臺(tái)、工控系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、大數(shù)據(jù)等。
第五級(jí)網(wǎng)絡(luò)
一般適用于國(guó)家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。
網(wǎng)絡(luò)定級(jí)的一般流程
網(wǎng)絡(luò)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同。因此,網(wǎng)絡(luò)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò)的安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的網(wǎng)絡(luò)的安全保護(hù)等級(jí)稱為系統(tǒng)服務(wù)安全等級(jí)。
確定網(wǎng)絡(luò)安全保護(hù)等級(jí)
一般流程
- 確定作為定級(jí)對(duì)象的網(wǎng)絡(luò)系統(tǒng);
- 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體;
- 根據(jù)不同的受侵害客體,從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度,根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級(jí);
- 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體;
- 根據(jù)不同的受侵害客體,從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度,根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級(jí);
- 由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。
參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》附錄中的圖,確定網(wǎng)絡(luò)安全保護(hù)等級(jí)的一般流程如下圖。
第一,對(duì)于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)及工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)系統(tǒng),依然分別從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)角度確定業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí),按兩者取高作為保護(hù)對(duì)象的安全保護(hù)等級(jí)。
第二,對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)和大數(shù)據(jù)平臺(tái)等起支撐作用的網(wǎng)絡(luò)系統(tǒng),應(yīng)根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí),原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。
第三,對(duì)于大數(shù)據(jù),應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價(jià)值等因素,根據(jù)數(shù)據(jù)資源(完整性、保密性、可用性)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護(hù)等級(jí)。原則上大數(shù)據(jù)的安全保護(hù)等級(jí)不低于第三級(jí)。
附:《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中表2和表3
